Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.
Saken er spesiell ved at det er første gang norske helseforetak har besluttet å inngå avtale med en ekstern leverandør i utlandet for å yte it-driftstjenester til en hel helseregions it-infrastruktur. Avtalen innebar behandling av helseopplysninger for mer enn halve Norges befolkning, og var på totalt kr 6,9 milliarder kroner over en periode på 7 år. Helseforetakene er samtlige av foretakene som eies av det regionale helseforetaket Helse-Sør-Øst, og it-ytelsene skulle leveres av en underleverandør til Sykehuspartner, som også er eid av Helse-Sør-Øst.
Det er helt lovlig å outsource (dvs. sette ut tjenester) it-tjenester til andre selskaper og selskaper i andre land, også til land utenfor EU/EØS. Også for it-tjenester i forbindelse med helse og sykehus kan outsources. Men det er et krav at det skal foretas en risikovurdering i forbindelse med outsourcingen etter bl.a. personopplysningsloven § 13 og personopplysningsforskriften § 2-4:
I varselet fra Datatilsynet reagerer Datatilsynet på at det ble inngått avtale om outsourcing (dvs. at tjenester som tidligere ble levert av Sykehuspartner, som da er et «søsterselskap» til helseforetakene, nå skulle leveres av en ekstern leverandør, og delvis fra utlandet) uten at det var foretatt tilstrekkelige risikovurderinger, og uten at restrisiko ble vurdert (dvs. den risiko som foreligger etter at det er iverksatt tiltak). Også det at at risikoen som forelå ikke ble gjennomgått og akseptert av de behandlingsansvarlig ble det sett svært alvorlig på. I tillegg ble det reagert på at det ikke var tilstrekkelig sikkerhetsledelse (dvs. at det ikke var ledelsen hos helseforetakene som fattet beslutninger om risiko og tiltak, men databehandleren (Sykehuspartner) og ansatte lenger nede i organisasjonen) og det var tilganger til it-systemene og helseopplysninger fra personer som ikke skulle hatt tilgang (dvs. brudd på plikten til konfidensialitet).
Det var helseforetakene (dvs. sykehusene) som er behandlingsansvarlig for helseopplysningene, mens Sykehuspartner er databehandler for foretakene. Den nye underleverandøren ville da bli en «underdatabehandler», og det var Sykehuspartner som inngikk avtale med it-leverandøren. Dette viser at den behandlingsansvarlige (som ofte er kunden i slike leveranser), kan ikke fraskrive seg ansvaret for hvordan databehandleren/leverandøren organiserer sin leveranse. Den behandlingsansvarlige har ansvaret for behandlingen av personopplysningene og informasjonssikkerheten fullt ut, mens kan gi databehandlere direkte eller indirekte ansvar for å utføre tjenester etter avtalen (men da kun oppgavene, ikke ansvaret overfor de registrerte og Datatilsynet).
Hensikten med risikovurderinger er å gi den behandlingsansvarlige oversikt over og informasjon om hvilke konsekvenser outsourcingen kan medføre, og sette den behandlingsansvarlige i stand til å ta riktige beslutninger, som å iverksette tiltak for å bedre sikkerheten for personopplysningene. I dette tilfelle var det helseopplysninger for en meget stor mengde mennesker, hvilket i seg tilsier at det skal være et høyt sikkerhetsnivå. Det må derfor iverksettes ekstra tiltak for å sikre opplysningene når disse skal behandles av en ekstern leverandør.
Helseforetakene har svart Datatilsynet at de mener at det ikke er plikt eller anledning til å foreta risikovurdering før avtale inngås og it-tjenestene settes ut. Hvorvidt foretakene har rett i dette, avhenger av den videre behandling. Men det fremgår av brevene Datatilsynet har sendt helseforetakene at det ikke er mottatt dokumentasjon som viser at foretakene på noe tidspunkt har vurdert eller tatt stilling til risikoen ved tjenesteutsettelsen.
En risikovurdering etter dagens personopplysningslov og -forskrift vil være stort sett sammenfallende med hvordan risikovurderinger skal gjennomføres etter ny personopplysningslov og personvernforordningen (GDPR). Den behandlingsansvarlige må kartlegge personopplysningen og vurdere hvilken verdi opplysningene har for virksomheten, hvor sistnevnte har betydning for vurdering av hvem/hva som kan utgjøre trussel for opplysningene. Risikobildet må vurderes basert på faktorer som rettssikkerhet, finansiell og politisk stabilitet, teknisk infrastruktur, hvordan hendelser kan håndteres og avverges, Sannsynlighet og konsekvenser ved at konfidensialitet, integriteten eller tilgjengeligheten for personopplysninger blir redusert eller skadelidende er kjernen i vurderingen. For at den behandlingsansvarlige skal kunne vise at risikovurderingen er gjennomført på tilfredsstillende måte, må risikovurderingen dokumenteres.
Etter personvernforordningens artikkel 32 følger det at det skal gjøres en risikovurdering (selv om det ikke er tilsvarende klart formulert som i dagens regelverk) ved at det skal gjennomføres «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen». I fortalens punkt 83 fremkommer plikten til risikovurderinger klarere (min understrekning):
«For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av fortrolighet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikkemateriell skade.»
I tillegg vil det ved outsourcing av denne karakter være en plikt til å foreta vurdering av personvernkonsekvenser (DPIA) etter artikkel 35.
Ved en outsourcing av tjenester må risikovurderingen være en del av beslutningen om outsourcing og inngåelse av kontrakt, og restrisikoen, dvs. tiltak som skal iverkesettes for at akseptabelt risikonivå opprettholdes selv om det skjer en outsourcing, må tas med i kontrakten med leverandøren for å sikre at risikonivået etterleves.
En risikovurdering skulle etter Datatilsynets vurdering synliggjort trusselbildet ved outsourcingen, og tatt høyde for at opplysningene det her var snakk om var «den største samlingen helseopplysninger som noen gang har blitt vurdert tilgjengeliggjort for utenlandske leverandører». I denne vurderingen skulle det vært tatt høyde for at personopplysningene har avgjørende verdi for de som trenger opplysningene for å utføre sine oppgaver (tilgjengelighet) og at opplysningene kan ha stor verdi for andre som ikke i utgangspunktet er berettiget til dem (konfidensialitet). Det at det ikke var ledelsen hos behandlingsansvarlige (dvs. i helseforetakene) som fattet beslutning om personopplysningene, har også stor betydning for Datatilsynet, så det er avgjørende at beslutninger om risikovurdering fattes av rette personer hos behandlingsansvarlig. I tillegg hadde det betydning for utfallet av Datatilsynets vurdering at Datatilsynet ikke mottok dokumentasjon som viste at helseforetakene hadde oppfylt kravene i regelverket.
Det presiseres at det kun er gitt et varsel om at bøter vil bli ilagt fra Datatilsynet, og helseforetakene kan komme med innsigelse og kan bringe endelig avgjørelse av bøter inn for Personvernnemda. Men ved denne saken viser at Datatilsynet vurderer kravet til risikovurdering strengt, og selv om dette var en spesiell omfattende outsourcing med mye og sensitive personopplysninger involvert, så er det et omfattende krav om risikovurdering som mange behandlingsansvarlige må vurdere før de anskaffer it-tjenester eller overfører personopplysninger. Helseforetakene kan imidlertid trøste seg med at dagens regelverk ble lagt til grunn for boten; hadde personvernforordningens regler vært lagt til grunn, ville bøtene trolig blitt langt større.